261
Kapitel 11
Sicherheit und Überwachung
Die Sicherheitsaspekte für Oracle-Datenbanken sind äußerst vielschichtig. Wenn
Sie die Infrastruktur betrachten, dann liegt die Datenbank in der Mitte zwischen
Betriebssystem und Applikation. Sie ist gleichzeitig der Speicherort für mehr oder
wenige sensible Daten sowie der Applikation. Der Zugriff auf die Datenbanken
erfolgt aus dem Intranet, also hinter der Firewall, und von außen. Betrachten Sie
Sicherheitslösungen stets aus der Perspektive der gesamten Infrastruktur, in der
die Datenbank eine Komponente bildet.
Eine immer noch verbreitete Auffassung ist, dass durch ein Abschotten nach
Außen, z.B. durch Firewalls, ein Großteil der Sicherheitslücken geschlossen wird.
Statistiken über Incidents im Bereich Sicherheit belegen jedoch, dass die überwie-
gende Anzahl von Datendiebstählen oder Datenverlusten durch sogenannte Insi-
der hervorgerufen wird, also Personen, die sich im Unternehmen befinden und
bereits über gewisse Zugriffsrechte verfügen.
Historisch betrachtet wurde das Thema IT-Sicherheit im Allgemeinen über viele
Jahre vernachlässigt. So haben sich bis zum Ende der neunziger Jahre, also der
Wachstumsphase von Internet und IT, nur wenige Unternehmen intensiv mit die-
sem Thema beschäftigt und sich auf den quantitativen Ausbau der Infrastruktur
konzentriert. Mit Beginn der Konsolidierungsphase nach der Jahrtausendwende
geriet das Thema Sicherheit immer mehr in den Fokus von Unternehmen und da
vor allem bei den großen Konzernen. Heute sind IT-Sicherheitskonzepte in vielen
Unternehmen fest etabliert und drücken sich in vielfältigen Richtlinien und Poli-
cies aus.
Auch die Firma Oracle hat diese Phasen durchlebt. So wurde das Thema Sicherheit
bis zu den Anfängen der Version 9i sträflich vernachlässigt. Mit der gleichzeitigen
Verbreiterung der Funktionalität entstanden neue Sicherheitslücken. Mit der Nach-
frage der Kunden nach mehr Sicherheit hat Oracle begonnen, Sicherheitslücken zu
schließen und mit jeder neuen Version mehr Features für eine aktive Kontrolle
und Verteidigung eingebaut. Gleichzeitig wurden im Zeitraum von Quartalen
Sicherheitspatche herausgegeben. Heute lässt sich konstatieren, dass die Version
12c einen guten Sicherheitsstandard erreicht hat, wenngleich immer noch Lücken
vorhanden sind. Die Frage ist jedoch auch immer, welches Niveau an Fachwissen
erforderlich ist, um Sicherheitslücken auszunutzen.
Kapitel 11
Sicherheit und Überwachung
262
Das vorliegende Kapitel beschreibt die Sicherheitsfeatures der Version 12c und
gibt viele Hinweise, wie Sicherheit praktikabel umgesetzt werden kann. Häufig
wird noch verkannt, dass die Implementierung von Sicherheit mit Kosten verbun-
den ist. Es stellt sich auch die Frage: Wie viel muss investiert werden, um ein hin-
reichendes Maß an Datenbanksicherheit zur Verfügung zu stellen? Auch gilt es
dabei zu betrachten, dass nicht jede Datenbank kritische Daten enthält. So kann
mit der Einführung von Sicherheitsstufen das vorhandene Budget zielgerichtet
eingesetzt werden.
Weitere Informationen zum Thema Oracle-Sicherheit finden Sie in Kapitel 19,
»Erweiterte Sicherheitsthemen«. Darin werden technische Abläufe detailliert
erläutert und Möglichkeiten aufgezeigt, wie Hackerangriffe erfolgreich abgewehrt
werden können. Darüber hinaus beschäftigt sich das Kapitel mit dem Thema
»Datenbankaudits«.
Oracle 12c bietet folgende neue Sicherheitsfeatures:
Oracle Data Redaction
Neue Management-Funktionalität für Keystore und Transparent Data Encryption
Neue Privilegien für die Administration von Transparent Data Encryption
Die Planung und Implementierung von Sicherheitsstandards wirft unter anderem
folgende Fragen auf.
쐽 Welche Sicherheit bietet Oracle nach einer Standardinstallation (Out-of-the-box
Security)?
쐽 Welche Sicherheitslücken sollten sofort nach der Installation geschlossen
werden?
쐽 Wie kann mit vertretbarem Kostenaufwand ein hinreichender Sicherheits-
standard erreicht werden?
쐽 Welche Maßnahmen sind zu ergreifen, um sensible Daten besonders zu
schützen?
쐽 Wie können Sicherheitsstandards und -Policies im produktiven Betrieb um-
gesetzt werden?
쐽 Wer darf Audit-Informationen lesen und auswerten?
Neben der aktiven Abwehr von Attacken und der Zugriffskontrolle spielt das Audi-
ting eine wichtige Rolle. So kann im Nachhinein festgestellt werden, wann außerge-
wöhnliche Aktionen auf der Datenbank stattgefunden haben. Diese Informationen
können wiederum an den Bereich »Intrusion Detection« zur Auswertung weiterge-
geben werden. Diese Abteilung beschäftigt sich im Unternehmen mit verdächtigen
Aktivitäten, um mögliche Sicherheitsverletzungen zu erkennen, unabhängig davon,
ob sie bereits stattgefunden haben oder ob zukünftige Angriffe zu erwarten sind.
Get Oracle 12c - Das umfassende Handbuch now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
